自動車業界とサプライチェーンを襲うサイバー攻撃の脅威！
いま求められる情報セキュリティ対策とは？

テクノロジーの大変革のなかで
サプライチェーン攻撃のリスクも増大

「100年に一度の大変革期」とも呼ばれる大きな変化を迎えている自動車業界。
「Connected：コネクティッド」「Autonomous：自動運転」「Shared & Service：シェアリング・サービス」「Electric：電動化」といった「CASE」と呼ばれる領域での技術革新が進むなかで、社会にとっての車の概念は大きく変わろうとしています。

業界全体が新しいモビリティ社会、「MaaS（Mobility as a Service）」の実現に向けてITの利活用を推進し、車を含むモビリティを単なる交通手段でなく、自動運転やAIなどのさまざまなテクノロジーと融合させた次世代の交通サービスとして発展させようとしています。
そのような状況のなか、車両自体がネットワークとつながることや、企業のITインフラ環境や工場などの制御システムをはじめとする多くの情報システムがインターネットに接続されることで、サイバー攻撃の脅威も増しています。
また、標的となる企業の情報セキュリティが強固な場合には、直接サイバー攻撃を行うのではなく、セキュリティ対策が手薄な関連企業や、部品サプライヤーなどの取引先企業（サプライチェーン）を経由して、ターゲット企業への不正侵入を企てる「サプライチェーン攻撃」も多く見られるようになっています。
実際にあった被害として、部品製造を行う企業でランサムウェアの感染が発生し、主要取引先の自動車メーカーが工場の稼働を停止した事例なども発生しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。

サイバーセキュリティ法規の施行で
車両開発へのセキュリティ対応が今後必須に

サイバーセキュリティリスクの拡大を受け、自動車業界全体でも対策の必要性が叫ばれるようになりました。
そして2020年6月には、国連欧州経済委員会（UNECE）の下部組織である「自動車基準調和世界フォーラム（WP29）」にて、自動車のサイバーセキュリティ法規「UN-R155」が採択され、2021年1月に施行されました。
「UN-R155」においては、すべての車両の型式認証時に、「CSMS（Cyber Security Management System）の実施を評価すること」が要件として明記されています。CSMSは、産業用オートメーションおよび制御システムを対象としたサイバーセキュリティのマネジメントシステムで、「UN-R155」ではCSMS認証がなければ車両の販売ができないことになります。
また「UN-R155」では、車載用サイバーセキュリティの国際規格「ISO/SAE 21434」に準拠したプロセス構築が推奨されています。CSMS認証を得るためには、「ISO/SAE 21434」準拠のプロセスを構築し、構築したプロセスに従ってセキュリティ開発ができることが求められています。

WP29から提案されたCSMS導入のスケジュールにおいては、STEP1、STEP2は移行期間となり、STEP3からはCSMS準拠が必須となります。具体的には、2025年1月以降に販売する車両は、STEP3のCSMS準拠、つまり「ISO/SAE 21434」に準拠した開発が必要となります。

自動車業界全体の対策レベル強化に向けた
「自動車産業サイバーセキュリティガイドライン」

業界でのこのような流れを受けて、2022年4月には国内の自動車関連企業が所属する2団体「一般社団法人 日本自動車工業会（JAMA）」と「一般社団法人 日本自動車部品工業会（JAPIA）」が、自動車産業に特化したサイバーセキュリティ攻撃のリスクに考慮した「自工会/部工会・サイバーセキュリティガイドライン2.0版」を公開しました^※。
背景には、WP29の認証制度によって業界として統一したサイバーセキュリティ対応を行うことが要求されていることや、経済産業省からサプライチェーンのセキュリティレベルの向上に向けて「サイバー・フィジカル・セキュリティ対策フレームワーク」が提示され、情報システム分野で業界標準のガイドライン作成が求められていることがあります。

本ガイドラインは、「自動車メーカーやサプライチェーンを構成する各社に求められる自動車産業固有のサイバーセキュリティリスクを考慮した対策フレームワークや業界共通の自己評価基準を明示することで、自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進すること」を目的としています。エンタープライズ領域（会社全体のベースとなるOA環境）を対象とし、企業規模にかかわらず利用できる、必要最低限実施すべき項目に加えて、さらなるレベルアップ項目を追加した21項目の要求事項と153項目の達成条件が記載されており、今後設備分野や販売店・車両などの他分野に向けた項目整備も順次検討していくとしています。

ガイドラインが求めるセキュリティの達成を
「SKYSEA Client View」がサポート

ガイドラインでは、業界内での役割・立場や企業規模などに応じて、3つのセキュリティレベルと、「情報資産の管理（機器）」「パッチやアップデート適用」「不正アクセスの検知」などの分野ごとに分類されたチェック項目（達成条件）が用意されています。
Ｓｋｙ株式会社では、クライアント運用管理ソフトウェア「SKYSEA Client View」やセキュリティ研修などを通じて、これら自動車業界のサイバーセキュリティで求められる各種項目の実現をサポートします。

「SKYSEA Client View」やセキュリティ研修などで、
ガイドラインで求められる要求事項の達成を支援

ご支援できるガイドライン項目 │ Level 1 - No.62情報資産（機器）は重要度に応じた管理ルールに沿って管理している

情報機器をルールに沿って管理

クライアントPCやサーバーのソフトウェア情報、プリンターやルーターなどのネットワーク機器情報などを自動で収集し、台帳で一元管理できます。

ご支援できるガイドライン項目 │ Level 2 - No.143インシデント発生時の調査のために必要なログを取得している

ログの取得

PCの操作ログを収集し、一覧で表示。キーワードや期間など複数の条件を指定して検索でき、最大10年間保存できます。

ご支援できるガイドライン項目 │ Level 3 - No.80許可された機器以外は社内ネットワークに接続できないよう、システムで制限している

社内ネットワークに接続する機器を制限

接続が許可されていないPCが社内ネットワークに接続されると接続を自動的に検知し、管理者へメール通知してログを出力。自動的に接続を遮断^※することも可能です。

• 「不許可端末遮断」は、エディションによってはオプションでの提供となります。

ご支援できるガイドライン項目 │ Level 2 - No.35各職場で特に重要なリスクやルールについて啓発活動を実施している

従業員のセキュリティ意識向上

情報漏洩のリスクや、パスワードの取り扱い、インシデント発生時の対応など、従業員一人ひとりのセキュリティ意識向上を目的としたセキュリティ研修をご提供します。

Ｓｋｙ株式会社のセキュリティ研修について詳しくはこちら
https://www.skyseaclientview.net/support/guide/guide005.html#service10

「SKYSEA Client View」では、今回ご紹介したもの以外にも、自動車産業サイバーセキュリティガイドラインの要求事項の達成をサポートする各種機能を複数ご用意しています。技術革新とガイドライン整備が進む自動車業界の情報セキュリティ対策に、ぜひ弊社商品をご検討ください。